Περίπου 38 εκατομμύρια αρχεία από  εφαρμογές ιστού που χρησιμοποιούν την πλατφόρμα Power Apps της Microsoft έμειναν εκτεθειμένα στο διαδίκτυο, σύμφωνα με τους ερευνητές. Λέγεται ότι τα αρχεία περιελάμβαναν δεδομένα από COVID-19 προσπάθειες εντοπισμού επαφών, εγγραφές εμβολίων και βάσεις δεδομένων εργαζομένων, όπως διευθύνσεις σπιτιού, αριθμούς τηλεφώνου, αριθμούς κοινωνικής ασφάλισης και κατάσταση εμβολιασμού.

Στο περιστατικό αποκαλύφθηκαν δεδομένα από ορισμένες μεγάλες εταιρείες και ιδρύματα , συμπεριλαμβανομένων των American Airlines, της Ford, του Υπουργείου Υγείας της  Ιντιάνα και των δημόσιων σχολείων της Νέας Υόρκης. Η ευπάθεια έχει επιλυθεί ως επί το πλείστον.

Ερευνητές από την εταιρεία ασφαλείας Upguard άρχισαν να εξετάζουν το ζήτημα τον Μάιο. Βρήκαν ότι δεδομένα από πολλές εφαρμογές Power που υποτίθεται ότι ήταν ιδιωτικά ήταν διαθέσιμα για οποιονδήποτε, αν ήξεραν πού να ψάξουν. 

Η υπηρεσία Power Apps στοχεύει να διευκολύνει τους πελάτες να φτιάξουν τις δικές τους εφαρμογές ιστού και κινητών. Προσφέρει διεπαφές προγραμματισμού εφαρμογών (API) για χρήση από προγραμματιστές με τα δεδομένα που συλλέγουν. Ωστόσο, η Upguard διαπίστωσε ότι η χρήση αυτών των API καθιστά τα δεδομένα που λαμβάνονται μέσω των Power Apps δημόσια από προεπιλογή και η χειροκίνητη αναδιαμόρφωση απαιτήθηκε για να διατηρηθούν οι πληροφορίες ιδιωτικές.

Η Upguard λέει ότι έστειλε μια αναφορά ευπάθειας στο Κέντρο πόρων ασφαλείας της Microsoft στις 24 Ιουνίου, συμπεριλαμβανομένων συνδέσμων προς λογαριασμούς Power Apps στους οποίους εκτέθηκαν ευαίσθητα δεδομένα και βήματα για τον εντοπισμό API που επέτρεψαν την ανώνυμη πρόσβαση σε δεδομένα. Οι ερευνητές συνεργάστηκαν με τη Microsoft για να διευκρινίσουν τον τρόπο αναπαραγωγής του ζητήματος. Ωστόσο, ένας αναλυτής της Microsoft είπε στην εταιρεία στις 29 Ιουνίου ότι η υπόθεση έκλεισε και «διαπίστωσαν ότι αυτή η συμπεριφορά θεωρείται ότι έχει σχεδιαστεί».

Στη συνέχεια, η Upguard άρχισε να ειδοποιεί ορισμένες από τις πληγείσες εταιρείες και οργανισμούς, οι οποίες κινήθηκαν για να κλειδώσουν τα δεδομένα τους. Ανέφερε αναφορά κατάχρησης στη Microsoft στις 15 Ιουλίου. Μέχρι τις 19 Ιουλίου, η εταιρεία λέει ότι τα περισσότερα από τα εν λόγω Power Apps, συμπεριλαμβανομένων των πιο ευαίσθητων πληροφοριών, είχαν ιδιωτικοποιηθεί.  

Νωρίτερα αυτόν τον μήνα, η Microsoft είπε ότι οι Power Apps θα διατηρήσουν τα δεδομένα ιδιωτικά από προεπιλογή όταν οι προγραμματιστές αξιοποιήσουν τα API. Επιπλέον, κυκλοφόρησε ένα εργαλείο για τους προγραμματιστές να ελέγχουν τις ρυθμίσεις Power Apps τους.

Δεν υπάρχει καμία ένδειξη ότι κανένα από τα εκτεθειμένα δεδομένα έχει παραβιαστεί. Μεταξύ των πιο ευαίσθητων πληροφοριών που έμειναν ανοιχτά ήταν 332.000 διευθύνσεις ηλεκτρονικού ταχυδρομείου και αναγνωριστικά υπαλλήλων της Microsoft που χρησιμοποιούνται για μισθοδοσία, σύμφωνα με την Upguard. Η εταιρεία λέει επίσης ότι εκτέθηκαν περισσότερα από 39.000 αρχεία από πύλες που σχετίζονται με τη Microsoft Mixed Reality, συμπεριλαμβανομένων των ονομάτων των χρηστών και των διευθύνσεων ηλεκτρονικού ταχυδρομείου.

Το περιστατικό υπογραμμίζει το γεγονός ότι μια εσφαλμένη διαμόρφωση, όσο και αν φαινομενικά είναι μικρή, θα μπορούσε να οδηγήσει σε σοβαρές παραβιάσεις δεδομένων. Αυτό δεν φαίνεται να συμβαίνει εδώ, ευτυχώς. Ωστόσο, φαίνεται ότι οι προγραμματιστές θα πρέπει πιθανώς να ελέγξουν τρεις φορές τις ρυθμίσεις τους, ειδικά όταν συνδέουν ένα API που δεν έχουν σχεδιάσει οι ίδιοι.